2024年7月18日，美国一名法官驳回了美国证券交易委员会（SEC）对软件公司 SolarWinds提起诉讼的大部分指控，包括SEC针对其首席信息安全官（CISO）布朗（Timothy Brown）个人的所有指控。但基于 SolarWinds 网站上“吹捧”该公司安全控制措施的“安全声明”而提出的证券欺诈指控，法院仍然支持。 该裁决是对 SolarWinds今年 1 月提出的驳回 SEC 诉讼的动议的回应。 这一裁决源于2023 年 10 月SEC 诉 SolarWinds 案，因该案涉及了多个“首次”而引起了许多行业团体的公开批评： SEC首次因网络安全风险误导和欺骗投资者而起诉一家上市公司；SEC首次因首席信息安全官（CISO）在网络安全失败中的责任而要求其承担个人责任；SEC首次起诉一家因网络安全缺陷导致公司内部控制失败、无法保护其关键资产的公司。 在长达 107 页的裁决中，美国法官在大部分问题中做出了与美国证券交易委员会（SEC）意见相反的裁决。这对SEC来说是一个重大打击，而SolarWinds及美国商会、网安高管们则应长舒了一口气。 在该案判决之前，由于SEC在本案中所表现出的激进和强势，立法者、商界和律师们，对许多问题争论不休。下面是本案法官Paul A. Engelmayer就最关键的几个问题作出的回应： Q1：上市公司官网的虚假陈述是否构成“证券欺诈”？ 构成 SolarWinds的“安全声明”最早在2017年发布，并在整个相关期间在其官网上公开呈现。声明中有五组内容，包括访问控制、密码保护、符合NIST网络安全框架、网络监控、遵守安全开发生命周期等。SEC认为，至少有2组内容——访问控制和密码保护策略——存在“虚假陈述”。 在庭审中，SolarWinds就其“安全声明”提出的一个论点：安全声明是针对客户，而非投资者，所以不应被SEC起诉。 但法官认为这种理由根本不成立。虽然从“目的”来说，安全声明旨在说服“客户”购买SolarWinds的网络安全产品（当然，如果其中如果有误导性内容应当成立“消费者欺诈”的罪名）；但从“结果”来说，在SolarWinds的官网上的“安全声明”，是提供给投资大众的“综合信息”的一部分，包括投资者在内的所有人都可以访问，所以当然可以成立“证券欺诈”。 Q2：公司批准的“宣传内容”是否可构成“证券欺诈”？ 不构成 在本案中，SEC还根据公司首席信息安全官（CISO）布朗个人发布的其他公开内容，分别对SolarWinds公司和布朗个人提出证券欺诈指控，包括公司批准的新闻稿、博客文章和播客。 这一诉请没有得到法官的支持，法官将上述这些内容称之为“不可诉的公司吹牛”，主要基于两个理由： （1）从客观上来讲，这些内容陈述本身过于“笼统”，都没有详细被告公司的网络安全实践或一般商业实践，无法表达任何“客观事实”； （2）从主观来说，理性的投资者在做出投资决策时会依赖于“客观事实”和“细节”，这些内容无法成为投资者做出决策的参考。 Q3：首席信息安全官（CISO）个人是否应被归责？ 不应当 就上市公司高管的履职责任而言，美国证券交易委员会（SEC）一直关注密切首席执行官（CEO）和首席财务官（CFO）两个职位。在该案中针对 SolarWinds CISO 的个人指控，在行业界引起了极大的争论。 一群现任和前任CISO 和网络安全组织提交了一份法庭之友陈述，警告称，SEC的指控在多个政策层面上都适得其反，包括因为它可能加剧人们对个人责任的恐惧，从而加剧网络安全专业人员的严重短缺。 美国证券交易委员会（SEC）表示，首席信息安全官（CISO）布朗对SolarWinds官网的错误陈述是知情的；而在公司2020年遭受攻击期间，布朗在声明起草时参加了会议，指导具体的风险，但却审查并确认了声明的准确性——明显具有“误导性和虚假性”，因此诉状中隐含了布朗本人欺骗的意图。 在这个问题上，法官分别从事实和法律关系上分析，首席信息安全官（CISO）布朗不应当被诉： 第一，法官指出，SEC并未指控布朗有意或故意向负责披露风险的人隐瞒信息，而只是声称其对披露的一系列网络安全风险负责的人之一。而且，SEC甚至提供了证据，证明布朗曾经制作PPT向管理层汇报，公开讨论了公司的网络安全缺陷。因此，基于事实，布朗在风险披露方面的行为并非“非常不合理”或“与普通标准极端背离”。 第二，法官引述了SEC曾参与的两个案例，强调“公司只能通过自然人的行为行事，其代理人在其代理范围内的行为归于公司”。在本案中，考虑到布朗在发布安全声明并在SolarWinds面向公众的网站上维护该声明时按照要求行事，他的心态和他的行为一样应该归咎于公司。 Q4：SEC对“会计控制体系”的职权是否包含“网络安全”监管？ 不包含 美国证券交易委员会（SEC）诉SolarWinds 案是 SEC 意图扩大其网络安全执法权力的一个风向标。2023年7月，美国证券交易委员会（SEC）还批准了一项新规则，要求上市公司在四个工作日内通过公开 8-K 备案报告“重大”网络事件，并在年度 10-K 报告中分享有关其整体网络安全策略的详细信息归档。该规则也同样被质疑，被批评是“完全越权行为，与国会的意图直接冲突”。 SEC声称，根据《证券交易法》第13(b)(2)(B) 条的“内部会计控制”条款，适用于网络安全控制，因为： （1）该公司的源代码、数据库和产品，是SolarWinds最重要的资产； （2）由于该公司和个人因未能保护公司资产免受网络安全攻击，因而可以被指控违反证券法规定。 然而，法官再次站在了SolarWinds的一边： 第一，从《证券交易法》制定的历史和目的来说，第13(b)(2)(A)和13(b)(2)(b)条是作为1977年《反海外腐败法》（FCPA）的一部分制定的，是为了回应对美国商业利益集团贿赂外国官员的担忧而制定的，而“网络安全控制”不在该条款管辖范围之内。 第二，从法律解释来说，该条款只适用于公司的“内部会计控制系统”，也仅仅赋予SEC监管发行人“内部会计控制体系”的权力——即要求发行人准确报告、记录和协调财务交易和事项。未能检测到网络安全缺陷（例如，选择不当的密码）不能合理地称为会计问题。 法官虽然承认，网络安全控制至关重要，从结果来说，网络安全控制不足的确会使公司的核心资产受到损害或破坏，从而降低其价值。但法院对于权力扩张极其谨慎，认为扩大解释该条款将导致SEC的职权将不合理地“覆盖上市公司用于保护其宝贵资产的所有系统”，甚至包括雇用夜间保安人员、仓库门锁的采购、公司密码长度等等。 Q5：对网络安全事件披露的准确性要求应该有多高？ 不必“事后诸葛” 2020年12月发生的“太阳风”（Sunburst）大规模网络攻击，被公认为是“史上最严重”的供应链攻击。而之所以该攻击造成如此严重和广泛的影响，美国证券交易委员会（SEC）认为跟SolarWinds在“太阳风”之前和之后严重低估其严重性有直接的关系，包括忽略了2个客户在Sunburst前报告的涉及Orion产品的类似恶意活动，即2020年5月的USTP（U.S. Trustee Program）以及2020年10月的PAN（Palo Alto Networks）网络事件。也因此，SEC认定，SolarWind对于上述两个网络事件的报告，“存在重大虚假或误导性”。 在事后调查中证明，USTP和PAN两个客户报告的事件，的确预示着Sunburst的到来，也证明其严重性远远高于当时SolarWinds的评估。但问题是，是否应以“上帝视角”来要求上市企业对每一个网络事件的严重性程度做出准确的评估和预测？ 法院就此给出了一个事实和一个衡量标准： （1）事实：SolarWind就USTP 和PAN事件所作的风险披露，在广度、专一性和清晰度方面，已经足以提醒投资者太阳风面临的网络安全风险的类型和性质； （2）衡量标准：SolarWinds在Sunburst爆发前的风险披露是否充分，必须基于公司实时掌握的信息和它从这些信息中合理得出的结论来评估。 基于以上，法院认为，SolarWind公司在Sunburst之前没有足够的信息，因此无法得出事后经过长时间调查所得出的结论。SEC的指控纯粹是“事后诸葛”，后见之明。 此外，SEC还认为SolarWind在12月14日（Sunburst发生2天后）提交的8-K表存在重大虚假或误导性，原因是对Orion产品的攻击描述所用的语句过于“官方”，根本无法体现该事件的严重性。 然而，法院对该披露表格的认定逻辑与上述标准类似： （1）背景：8-K表提交的时间，尚处于网络事件调查的早期阶段，应当允许公司对事件的理解有阶段性； （2）标准：理性投资者的理解，已经足以从8-K表中“成功利用”等描述嗅到更具破坏性的事件或结果，那么这就足够了。 法官提到，SolarWinds消息公布当天，其股价下跌了16%以上，第二天又下跌了8%。这从侧面说明，这一披露描述的Sunburst攻击严重性已经足够。